Trend Micro divulga insights criminais após interrupção do LockBit

A Trend Micro Incorporated, empresa global de cibersegurança, divulgou nesta quarta-feira (3/4) descobertas abrangentes de inteligência de ameaças na esteira da interrupção liderada pelas autoridades contra o grupo de ransomware LockBit. A operação sem precedentes, conhecida como Operação Cronos, marca um passo significativo na luta global contra ameaças cibernéticas, impactando um grupo criminoso responsável por um quarto de todos os ataques de ransomware em todo o mundo.

“Somos imensamente favoráveis ao excelente trabalho disruptivo feito pela aplicação da lei internacional contra o grupo Lockbit e nossa capacidade de fornecer suporte com a análise de sua próxima versão planejada. Antecipar-se a esses atores de ameaças não apenas nos permitiu passar inteligência para as autoridades policiais, mas também reforçou a defesa de nossa base global de clientes. À medida que dissecamos as consequências dessa remoção, nosso compromisso de melhorar a defesa de segurança por meio de inteligência global de ameaças está produzindo resultados tangíveis”, disse Robert McArdle, chefe de Pesquisa de Ameaças Prospectivas da Trend.

A Operação Cronos foi diferente em vários aspectos de muitas das operações policiais típicas de grupos criminosos. Mais do que um mero revés para os agentes de ameaças, foi um ataque decisivo que paralisou sua infraestrutura, minou seus mecanismos financeiros, expôs afiliados e quebrou a confiança dentro de suas próprias redes ilícitas.

Esse esforço cumulativo ajudou a manchar a reputação do LockBit entre suas redes e a comunidade de crimes cibernéticos em geral, tornando-o inepto em suas tentativas de reagrupamento. Ringleader “Lockbitsupp” também foi banido de dois fóruns subterrâneos populares: XSS e Exploit.

O grupo tem tentado reconstruir os sites de vazamento New Onion lançados uma semana após a operação, e a Lockbitsupp está procurando ativamente corretores que vendam acesso a TLDs .gov, .edu e .org – no que parece ser uma represália para Cronos.

No entanto, esses esforços parecem estar fracassando. A telemetria da Trend revela casos limitados de ataque bem-sucedido desde a interrupção. Embora dezenas de vítimas tenham sido postadas no novo site de vazamento LockBit, a grande maioria foi recarregada de campanhas anteriores ou são vítimas de outros grupos de ameaça, como o ALPHV.

O grupo também vem desenvolvendo uma nova versão do ransomware, o Lockbit-NG-Dev, que a Trend vem monitorando de perto e fornece proteções avançadas aos clientes.

Principais realizações da Operação Cronos

Danos reputacionais ao LockBit: dada a sua reputação manchada, o LockBit enfrenta desafios significativos na reconstrução de suas operações e redes de afiliados.

Interrupção estratégica da infraestrutura: a abordagem aprofundada da operação tornou o processo de reconstrução e reagrupamento do LockBit difícil e demorado, atrasando qualquer ressurgimento potencial.

Dissuasão eficaz: a visão sobre as atividades de afiliados e os avisos subsequentes provavelmente desmantelaram qualquer um dos programas de afiliados da LockBit, enfraquecendo ainda mais sua capacidade operacional.

Segurança empresarial aprimorada: os clientes da Trend podem se beneficiar do resultado da operação e de um risco reduzido de serem alvo de um player significativo no mercado de ransomware.

Essa interrupção ressalta a busca da Trend de antecipar ameaças e proteger organizações em todo o mundo dos perigos em evolução do cenário cibernético. A melhor maneira de perturbar adversários comuns é compartilhando inteligência de forma rápida e eficiente.